heise PlusAbo
Anzeige
Alert!

Redis: Kritische Codeschmuggel-LĂĽcke in Datenbank

Die Entwickler der Datenbank Redis haben eine aktualisierte Version veröffentlicht, die eine kritische Sicherheitslücke stopft.

vorlesen Druckansicht 8 Kommentare lesen
Leuchtendes Warndreieck auf blauem Hintergrund

(Bild: Sashkin/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

In der Datenbank Redis haben die Entwickler mit einer aktualisierten Softwareversion vier SicherheitslĂĽcken geschlossen. Eine davon erreicht mit einem CVSS-Wert von 10 die maximale Risikobewertung. IT-Verantwortliche sollten ihre Installationen umgehend auf den neuen Stand bringen.

In den Release-Notizen zur Version 8.2.2 nennt das Redis-Projekt die vier Schwachstellen. Angemeldete Nutzer können mit speziell präparierten LUA-Scripten den Garbage Collector manipulieren, eine Use-after-Free-Situation provozieren und so Schadcode aus dem Netz zur Ausführung bringen (CVE-2025-49844 / EUVD-2025-32326, CVSS 10, Risiko "kritisch"). Außerdem können solche LUA-Scripte einein Integer-Überlauf provozieren, was ebenfalls die Ausführung von aus dem Internet eingeschleustem Code erlaubt (CVE-2025-46817 / EUVD-2025-32363, CVSS 7.0, Risiko "hoch").

Die weiteren Lücken sind weniger gravierend. Präparierte LUA-Skripte können außerhalb vorgesehener Speicherbereiche lesend zugreifen oder den Server zum Absturz bringen und so einen Denial of Service verursachen (CVE-2025-46819 / EUVD-2025-32327, CVSS 6.3, Risiko "mittel"). Außerdem können LUA-Skripte andere LUA-Objekte manipulieren und so ihren eigenen Code im Kontext anderer Nutzer ausführen (CVE-2025-46818 / EUVD-2025-32328, CVSS 6, Risiko "mittel").

Videos by heise

Fehlerkorrigierte Redis-Version installieren

Die IT-Sicherheitsforscher von Wiz haben zudem eine detaillierte Analyse der gravierendsten LĂĽcken verfĂĽgbar gemacht. Da mindestens eine der Schwachstellen als kritisch gilt, sollten Admins umgehend ihre Redis-Instanzen auf den nun aktuellen Stand 8.2.2 oder neuer bringen. Die quelloffene Software steht in aktueller Fassung im Quelltext auf Github bereit.

Die Linux-Distributionen sollten in Kürze aktualisierte Pakete bereitstellen, sodass die Softwareverwaltung der eingesetzten Distribution die Updates ausliefern kann. [Link auf https://access.redhat.com/security/cve/cve-2025-49844]Redhat empfiehlt mangels aktualisiertem Paket derzeit beispielsweise, den Zugriff auf den Server auf vertrauenswürdige Maschinen zu beschränken. Etwa auf der Pwn2Own-Veranstaltung in Berlin hatten die IT-Sicherheitsforscher Sicherheitslücken in Redis ausgemacht und vorgeführt.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten